Aktualności

SECURE 2010 za nami!

Data publikacji: 29/10/2010, przemek

Secure 2010Ten tydzień w CERT Polska to przede wszystkim XIV edycja organizowanej przez NASK konferencji SECURE. Przygotowując ją postawiliśmy na wiele zmian, więc nie obyło się bez obaw, czy wszystko pójdzie tak, jak sobie to wyobrażaliśmy. Na szczęście na podstawie pierwszych opinii, które do nas dotarły, wydaje się, że wyszło całkiem dobrze.

Dla blisko sześćdziesięciu uczestników konferencja rozpoczęła się w poniedziałek całodziennymi warsztatami. Do wyboru zaproponowaliśmy zajęcia prowadzone przez Tomka Grudzieckiego i Pawła Jacewicza z CERT Polska o zagadkowej nazwie „Duchy w przeglądarkach” oraz szkolenie z tworzenia reguł snorta oraz zastosowań tego oprogramowania, prowadzone przez Piotra Linke z Sourcefire. Miejsca na oba warsztaty zapełniły się długo przed konferencją. Uczestnicy byli zadowoleni, więc uznajemy, że ta nowość była krokiem w dobrym kierunku i zapewne skorzystamy z tej nauki w przyszłości.

Czytaj więcej

CERT Polska w Dubaju

Data publikacji: 13/10/2010, CERT Polska

CERT Polska in DubaiNa przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

HuaweiSymantecSpider – co to za pająk i dlaczego szuka phpMyAdmin?

Data publikacji: 13/10/2010, TomaszG.

Trzy dni temu pojawiły się w systemie ARAKIS połączenia HTTP nawiązane przez – jeżeli wierzyć polu „User-Agent” – pająka webowego HuaweiSymantec. Poprzez żądania GET próbowano pobrać z naszych honeypotów pliki konfiguracyjne (setup.php) znanego narzędzia do zarządzania bazami danych MySQL – phpMyAdmin. Na pierwszy rzut oka wyglądało to jak połączenia generowane przez typowy skaner luk próbujący na ślepo znaleźć podatne lub źle skonfigurowane narzędzie na sprawdzanym serwerze:

HuaweiSymantecSpider-phpMyAdmin

Czytaj więcej

Krytyczna luka 0-day w programie Adobe Reader

Data publikacji: 09/09/2010, przemek

Firma Adobe opublikowała informację, w której przyznaje o istnieniu niezałatanej luki (CVE-2010-2883) w programach Adobe Reader 9.3.4 i wcześniejszych na platformy Windows, Macintosh oraz UNIX, a także Adobe Acrobat 9.3.4 na Windows i Macintosh. Luka pozwala na wywołanie awarii programu i wykonanie dowolnego kodu w systemie, co w konsekwencji może doprowadzić do przejęcia nad nim kontroli przez atakującego. Z dużą dozą prawdopodobieństwa dostępny jest już kod wykorzystujący tę podatność do rzeczywistych ataków.

Bieżące informacje o luce, publikowanych aktualizacjach oraz aktualne zalecenia można śledzić na stronie Adobe PSIRT: http://blogs.adobe.com/psirt/

Przypominamy, że istnieją bezpłatne alternatywne programy do odczytu plików PDF, np. Foxit Reader.

SECURE 2010 coraz bliżej!

Data publikacji: 08/09/2010, przemek

Tegoroczna edycja konferencji SECURE już za niecałe siedem tygodni. Znany jest cały program konferencji, który zapowiada się wyjątkowo interesująco. W tym roku do wyboru będą aż trzy równoległe sesje tematyczne. Wśród sesji plenarnych także nie zabraknie wielu znakomitych prelegentów.

Konferencję otworzy prezentacja Lance’a Spitznera – wykładowcy SANS, założyciela The Honeynet Foundation. Zapozna nas z nowatorskim podejściem do edukacji użytkownika, dostosowanym do wymogów nowych pokoleń, do których nawet najistotniejsze dla bezpieczeństwa informacje muszą być przekazywane w atrakcyjny i zwięzły sposób.

Maciej Pajęcki i Michał Kluska z serwisu nasza-klasa w prezentacji pt. „Od kliknięcia do umorzenia czyli >pospamujemy razem<” opowiedzą o historii pewnego dochodzenia w sprawie nadużywania mechanizmów rozsyłania wiadomości do użytkowników.

Mikko Hypponen, jedna z najbardziej znanych twarzy F-Secure, odsłoni kulisy ewolucji złośliwego oprogramowania i spróbuje przewidzieć przyszłe wektory ataków oraz ich konsekwencje podczas otwierającej drugi dzień konferencji prezentacji „Evolution of the Threat”.

Ryan McGeehan z portalu społecznościowego Facebook, którego popularność rośnie ostatnio lawinowo także w Polsce, opowie m.in. o tym, w jaki sposób poruszają się po nim przestępcy. Prezentacja „Defending a Social Network” w środowe popołudnie.

Na SECURE nie zabraknie także unikatowych prezentacji zespołu CERT Polska (aż cztery – od tematów technicznych, przez badawczo-rozwojowe, po społeczne).

W poniedziałek, przed konferencją, zapraszamy także na specjalne warsztaty w formule hands-on. Jeden z nich przygotowany jest przez CERT Polska i poświęcony jest analizie ataków na aplikacje klienckie. Drugi warsztat, prowadzony przez Sourcefire, będzie pokazywał praktyczne zastosowania oprogramowania Snort. Uwaga! Liczba miejsc na oba warsztaty jest ograniczona!

Szczegółowy program oraz informacje o prelegentach znaleźć można na stronie konferencji: http://www.secure.edu.pl/ Do końca września obowiązuje specjalna zniżka early bird. Zapraszamy!

Windows Binary Planting – podrzucanie modułów wykonywalnych w systemie Windows

Data publikacji: 26/08/2010, CERT Polska

bad dll

W ostatnich tygodniach szeroko dyskutowana jest nowa luka w zabezpieczeniach systemu Windows. Podatność zwana „Windows Binary Planting” lub „DLL Preloading Bug” pozwala na przeprowadzenie ataku na podatne aplikacje i w konsekwencji wykonanie spreparowanego kodu.

Omawiana luka w rzeczywistości nie jest luką w kontekście exploitacji oprogramowania, a raczej błędem projektowym, który można w zasadzie uznać za część funkcjonalności systemów Windows. Jest ona konsekwencją podejścia do ładowania bibliotek dołączanych dynamicznie (DLL) i, jako taka, jest znana już od dość dawna. Metoda nazywana Windows Binary Planting to po prostu nowy, pomysłowy sposób jej wykorzystania. Jest to metoda o olbrzymim potencjale dla potencjalnych napastników, przede wszystkim ze względu na duży zbiór podatnych aplikacji, których wersja jest w zasadzie bez znaczenia. O Windows Binary Planting pisał już w lutym pracownik Uniwersytetu Kalifornijskiego, Taeho Kwon, natomiast o innych metodach korzystania z luk w systemie ładowania bibliotek DLL (DLL spoofing) – m.in. polski specjalista ds bezpieczeństwa informacji Gynvael Coldwind (http://vexillium.org/?sec-dllsp).

Czytaj więcej

Podatność systemu Windows załatana !

Data publikacji: 03/08/2010, CERT Polska

Wczoraj (2 sierpnia) Microsoft wypuścił poprawkę łatającą ostatnią podatność w systemach Windows (opisaną w poprzedniej wiadomości: http://www.cert.pl/news/2590).

Przypomnijmy – podatność związana jest z mechanizmem wyświetlania ikon do skrótów – konkretnie skrótów do apletów panelu sterowania. Umożliwia ona uruchomienie złośliwego kodu na atakowanym komputerze – konieczne jednak jest zmuszenie ofiary do wyświetlenia spreparowanego pliku .lnk (plik skrótu). Błąd najprawdopodobniej znajduje się w funkcjach interfejsu IExtractIcon odpowiedzialnych za lokalizowanie i ładowanie ikon. Implementacja tego mechanizmu znajduje się w pliku shell32.dll. Ryzyko infekcji podnosi fakt, że skróty mogą być również osadzane w dokumentach MS Office – aby zostać ofiarą ataku wystarczy otworzyć dokument zawierający złośliwy kod.

Zalecamy niezwłoczne zainstalowanie aktualizacji !

Łatki dostępne są na wszystkie wspierane wersje systemu Windows. Pliki do pobrania oraz opis znajduje się na stronie: http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx. Łatka powinna również być dostępna w ramach „Automatycznych Aktualizacji” systemów Windows.

Nowe zagrożenie – niezałatana podatność systemów WINDOWS

Data publikacji: 21/07/2010, CERT Polska

Lnk vuln.

W systemach z rodziny WINDOWS została znaleziona nowa luka umożliwiająca atakującemu wykonanie złośliwego kodu i w efekcie zainfekowanie komputera ofiary. Luka związana jest z błędem w przetwarzaniu skrótów (plików .lnk) do apletów w panelu sterowania – prawdopodobnie w module odpowiedzialnym za wyświetlanie ikony skrótów. Pierwsze doniesienia pochodzą z białoruskiej firmy VirusBlokAda (www.anti-virus.by). Microsoft potwierdził już informację o występowaniu podatności oraz informuje, że narażone na atak są wszystkie wersje systemu WINDOWS: XP,Vista,7, 2003 Server oraz 2008 Server (http://www.microsoft.com/technet/security/advisory/2286198.mspx)

hedump

Czytaj więcej

CERT Polska na konferencji FIRST

Data publikacji: 12/07/2010, przemek

W dniach 13-18 czerwca odbyła się 22. doroczna konferencja FIRST. Jest to najważniejsze w roku wydarzenie w tym ogólnoświatowym forum zespołów reagujących, zrzeszającym w tej chwili ponad 220 zespołów z sześciu kontynentów, od uczelnianych i akademickich, przez bankowe i należące do wielkich korporacji po rządowe. Tegoroczna konferencja miała miejsce w Miami na Florydzie i zgromadziła przeszło 450 uczestników. CERT Polska jest jednym z aktywnych członków forum. W tym roku oprócz trzyosobowej reprezentacji wśród uczestników miał także znaczący wkład merytoryczny w program konferencji. Byliśmy autorami lub współautorami aż czterech wygłoszonych prezentacji:

  • R&D projects launched in response to the dynamic evolution of Internet security threats – CERT view wygłoszona przez Krzysztofa Silickiego i Piotra Kijewskiego (współautor: Mirosław Maj)
  • Cooperation and self-regulation of Polish ISPs in combating online crime – wygłoszona przez Przemysława Jaroszewskiego
  • FISHA – A Framework for Information Sharing and Alerting in Europe – współautorstwa Piotra Kijewskiego i Katarzyny Gorzelak
  • WOMBAT API: handling incidents by querying a world-wide network of advanced honeypots wygłoszona przez Piotra Kijewskiego (współautor: Adam Kozakiewicz)

Znaczący udział wśród pozostałych prezentacji miały tematy związane z bezpieczeństwem i prywatnością w systemach cloud computing. Pojawiły się także interesujące prezentacje dotyczące ataków dedykowanych oraz mnóstwo interesujących przykładów rozwiązań organizacyjnych i technicznych związanych z bezpieczeństwem i reagowaniem na incydenty. Bardzo ciekawy program sprawiał, że często trudno było dokonać wyboru między trzema ścieżkami tematycznymi.

Pełny program konferencji znaleźć można na stronach konferencji.

Projekt WOMBAT wraz z demonstracją API został także zaprezentowany na towarzyszącym konferencji FIRST spotkaniu zespołów narodowych. Spotkania takie od kilku lat organizowane są przez CERT/CC bezpośrednio po konferencji FIRST i są doskonałą okazją do wymiany kontaktów oraz zapoznania się z wyzwaniami, które stoją przed zespołami CERT działającymi na szczeblu narodowym.

...10...1819202122